Regulamin zarządzania ryzykiem
Inspiracja: Dokumentacja wewnętrzna w jednostkach sektora finansów publicznych
Regulamin zarządzania ryzykiem opisuje przyjęty model zarządzania ryzykiem w jednostce sektora finansów publicznych, skupiając się na ciągłym procesie, usprawnieniu planowania, zwiększeniu prawdopodobieństwa realizacji celów, zapewnieniu kontroli zarządczej oraz identyfikacji, ocenie, akceptowaniu i reakcji na ryzyko.
Załącznik Regulamin zarządzania ryzykiem §1 Założenia ogólne 1. Regulamin zarządzania ryzykiem opisuje przyjęty dla ……………………………………… (nazwa jednostki sektora finansów publicznych) model zarządzania ryzykiem. 2. Zarządzanie ryzykiem jest procesem ciągłym, stanowiącym jeden z elementów kontroli zarządczej w jednostce. §2 Ogólne zasady zarządzania ryzykiem 1. Celem zarządzania ryzykiem jest: 1) usprawnienie procesu planowania, 2) zwiększenie prawdopodobieństwa realizacji zadań i osiągania celów, 3) zapewnienie odpowiednich mechanizmów kontroli zarządczej, 4) zapewnienie kierownictwu otrzymywania na czas wczesnej informacji na temat zagrożeń dla realizacji celów i zadań. 2. Zarządzanie ryzykiem wewnętrznym odbywa się w szczególności według zasad: 1) spójności z przepisami prawa oraz wytycznymi w zakresie standardów kontroli zarządczej w jednostkach sektora finansów publicznych, 2) powiązania z celami i zadaniami jednostki, 3) przypisania odpowiedzialności, 4) proporcjonalności działań przeciwdziałających ryzyku do jego istotności. §3 Elementy systemu zarządzania ryzykiem Zarządzania ryzykiem obejmuje: 1) identyfikację ryzyka, 1 2) ocenę ryzyka, mającą na celu określenie możliwych skutków, prawdopodobieństwa i istotności wystąpienia danego ryzyka, 3) określenie akceptowanego poziomu ryzyka, 4) określenie reakcji na ryzyko i wskazanie działań w celu zmniejszenia danego ryzyka do akceptowanego poziomu ze wskazaniem właścicieli ryzyk, 5) zapewnienie mechanizmów kontroli ryzyka, 6) wdrożenie środków zapobiegawczych i korygujących oraz monitorowanie i raportowanie. §4 Identyfikacja ryzyka 1. Identyfikacja ryzyka polega na określeniu ryzyka, które zagraża poszczególnym celom i zadaniom, uwzględnionym w rocznym planie pracy. Przy identyfikacji zagrożeń uwzględnia się też realizowane przez jednostkę programy oraz projekty. 2. Identyfikując ryzyko, analizuje się wyniki wcześniej przeprowadzonych kontroli lub audytów oraz przypadki nieprawidłowości i niepowodzeń w osiąganiu celów jednostki w przeszłości. 3. Podczas identyfikacji należy przeanalizować: 1) cele i zadania jednostki; 2) obszary działalności jednostki; 3) zagrożenia związane z osiąganiem celów i realizowaniem zadań, w szczególności wynikające z następujących czynników: a) struktury organizacyjnej jednostki, b) sytuacji finansowej jednostki, w tym: liczby, rodzaju i wielkości dokonywanych operacji finansowych, c) liczby pracowników oraz ich kwalifikacji, d) przestrzegania przez pracowników zasad etyki, e) warunków pracy w jednostce, f) wpływów/nacisków zewnętrznych na pracowników jednostki (zwłaszcza o charakterze korupcyjnym lub innym kryminogennym), 2 g) możliwości zaistnienia zmian (np. zakresu rzeczowego lub terytorialnego działania jednostki, struktury organizacyjnej, sposobu działania, fluktuacji kadr, systemów informatycznych). §5 Ocena ryzyka 1. Ocena ryzyka odbywa się na podstawie przyjętego modelu oceny zapewniającego porównywalność wyników we wszystkich obszarach funkcjonowania jednostki oraz ułatwiającego przetwarzanie indywidualnych ocen w celu stworzenia ogólnego profilu ryzyka. 2. Ocena ryzyka polega na określeniu prawdopodobieństwa wystąpienia ryzyka i skutku, a następnie ustaleniu jego istotności. 3. Ocena zarówno prawdopodobieństwa, jak i potencjalnych skutków wystąpienia ryzyka polega na nadaniu im wartości szacunkowych w przyjętych skalach jakościowo-ilościowych. 4. W ocenie ryzyka uwzględnia się częstotliwość zaistnienia ryzyka (liczbę możliwych powtórzeń) jako jeden ze wskaźników prawdopodobieństwa wystąpienia ryzyka. 5. Na podstawie oszacowanego prawdopodobieństwa oraz skutków wystąpienia ryzyka określa się współczynnik istotności każdego zidentyfikowanego ryzyka. 6. Określenie istotności ryzyka umożliwia uporządkowanie ryzyk według kryterium ich znaczenia dla realizacji celów i zadań jednostki. 7. Pogrupowanie ryzyk według kryterium ich istotności przedstawia rzeczywiste zagrożenia dla realizacji celów i zadań jednostki oraz wskazuje kierownikowi jednostki kierunki priorytetowe w podejmowaniu odpowiednich działań. 8. Dla poszczególnych zidentyfikowanych i oszacowanych ryzyk wskazuje się rozwiązania, które mają na celu ograniczenie prawdopodobieństwa lub skutków ich wystąpienia. 9. Kierownik jednostki wyznacza akceptowany poziom ryzyka, uwzględniając ocenę istotności ryzyka. 10. Określenie poziomu istotności ryzyka może wynikać m.in. z konieczności zaakceptowania ryzyka w obszarze, w którym długofalowe korzyści przewyższają krótkoterminowe straty, z uwzględnieniem aktualnej sytuacji jednostki oraz wysokości kosztów ograniczenia danego ryzyka. 3 §6 Prawdopodobieństwo wystąpienia ryzyka 1. Oceniając prawdopodobieństwo wystąpienia ryzyka, uwzględnia się możliwą częstotliwość wystąpienia zdarzenia (jak często dane zdarzenie może mieć miejsce). W odniesieniu do czynności powtarzalnych (spraw występujących cyklicznie lub wielokrotnie) uwzględnia się liczbę możliwych powtórzeń (ile razy względem ogólnej liczby spraw zdarzenie może mieć miejsce). 2. Jakościowa ocena prawdopodobieństwa wystąpienia ryzyka opiera się na oszacowaniu stopnia prawdopodobieństwa zaistnienia ryzyka, przez wybór przez oceniającego jednej z trzech możliwości (skal): 1) prawdopodobieństwo wysokie – gdy jest więcej niż 60% szans, że ryzyko wystąpi wielokrotnie w ciągu roku; ryzyko z prawdopodobieństwem wysokim przyjmuje wartość – 3; 2) prawdopodobieństwo średnie – gdy jest więcej niż 10%, ale mniej niż 60% szans, że ryzyko wystąpi kilkakrotnie w ciągu roku; ryzyko z prawdopodobieństwem średnim przyjmuje wartość – 2; 3) prawdopodobieństwo niskie – gdy jest mniej niż 10% szans, że ryzyko wystąpi raz w ciągu roku lub nie zdarzy się w ciągu roku; ryzyko z prawdopodobieństwem niskim przyjmuje wartość – 1. §7 Skutki wystąpienia ryzyka 1. Ocena skutków wystąpienia ryzyka opiera się na oszacowaniu potencjalnych skutków, a więc wyników oddziaływania, jakie zaistnienie danego rodzaju ryzyka może mieć na jednostkę sektora finansów publicznych i realizację jej celów oraz zadań (jakość rezultatów/znaczenia/wpływów). Uwzględnia się przy tym w szczególności konsekwencje prawne, finansowe i organizacyjne zaistnienia danego zdarzenia oraz jego wpływ na wizerunek jednostki sektora finansów publicznych i bezpieczeństwo pracowników. 2. Ocena jakościowa skutków zaistnienia ryzyka dokonywana jest przez wybór jednej z trzech możliwości (skal): 1) wysokie skutki – poważny wpływ na realizację zadania (poważne zagrożenie terminu jego realizacji) i osiągnięcie celu; poważne konsekwencje prawne; zagrożenie bezpieczeństwa 4 pracowników; poważne straty finansowe; poważny wpływ na wizerunek jednostki sektora finansów publicznych; ryzyko ze skutkiem wysokim przyjmuje wartość – 3; 2) średnie skutki – średni wpływ na realizację zadania (zagrożenie terminu jego realizacji) i osiągnięcie celu; umiarkowane konsekwencje prawne; średni skutek finansowy; brak wpływu na bezpieczeństwo pracowników; średni wpływ na wizerunek jednostki sektora finansów publicznych; ryzyko ze skutkiem średnim przyjmuje wartość – 2; 3) małe skutki – mały wpływ na realizację zadania i osiągnięcie celu; brak skutków prawnych; mały skutek finansowy; brak wpływu na bezpieczeństwo pracowników; niewielki wpływ na wizerunek jednostki sektora finansów publicznych; ryzyko ze skutkiem niskim przyjmuje wartość – 1. §8 Istotność ryzyka 1. Istotność ryzyka wyrażona jest jako iloczyn (wyrażonych punktowo) prawdopodobieństwa wystąpienia ryzyka oraz potencjalnych skutków jego wystąpienia. Określenie istotności ryzyka pozwala na dokonanie oceny i hierarchizacji ryzyka, tj. uporządkowanie zidentyfikowanych i oszacowanych rodzajów ryzyka ze względu na ich znaczenie (od najpoważniejszych do najmniej poważnych rodzajów ryzyka), w zależności od stopnia, w jakim dane ryzyko zagraża realizacji zadań i celów jednostki sektora finansów publicznych. 2. Z uwagi na trzystopniową skalę zarówno prawdopodobieństwa, jak i skutków wystąpienia ryzyka, istotność danego rodzaju ryzyka może przyjąć wartości liczbowe od 1 do 9. 3. Dla oceny istotności ryzyka stosuje się skalę obejmującą następujące poziomy: 1) istotność ryzyka wysoka – istotnie wpływa na kluczową działalność jednostki sektora finansów publicznych; uniemożliwia realizację zadań i celów; rodzi straty finansowe; wymaga podjęcia natychmiastowych działań naprawczych; ryzyko przyjmuje wartość 6–9 (ryzyko o wysokim wpływie oraz wysokim lub średnim prawdopodobieństwie; ryzyko o średnim wpływie i wysokim prawdopodobieństwie); 2) istotność ryzyka średnia – potencjalnie wpływa na kluczową działalność jednostki sektora finansów publicznych; jest zagrożeniem dla realizacji zadań i celów; zagraża powstaniem strat finansowych; wymaga ustawicznego monitorowania i sprawdzania oraz rozważenia podjęcia stosownych działań; ryzyko przyjmuje wartość 3–4 (ryzyko o wysokim wpływie 5 oraz niskim prawdopodobieństwie; ryzyko o średnim wpływie oraz o średnim lub niskim prawdopodobieństwie; ryzyko o niskim wpływie i wysokim prawdopodobieństwie); 3) istotność ryzyka niska – nie ma wpływu na kluczową działalność jednostki sektora finansów publicznych; nie uniemożliwia realizacji zadań i osiągania celów; wymaga monitorowania i w miarę potrzeby sprawdzania; ryzyko przyjmuje wartość 1–2 (ryzyko o niskim wpływie oraz średnim lub niskim prawdopodobieństwie). 4. Matrycę punktowej oceny istotności ryzyka, zawierającą prezentację ryzyka w macierzy „3 × 3”, przedstawia poniższy rysunek: Skutek III. II. I. WYSOKI (3) (3) (6) (9) ŚREDNI (2) VI. V. IV. (2) (4) (6) IX. VIII.(2) VII. NISKI (1) (1) (3) PRAWDOPODOBIEŃSTWO 6 §9 Akceptowany poziom ryzyka 1. Ryzykiem akceptowalnym jest ryzyko o niskim poziomie istotności. 2. Ryzyko o średnim i wysokim poziomie istotności przekracza akceptowalny poziom ryzyka i wymaga ustalenia i podjęcia działań ograniczających to ryzyko przez zmniejszenie jego skutku lub prawdopodobieństwa wystąpienia ryzyka. 3. W stosunku do każdego rodzaju ryzyka, którego poziom istotności mieści się w akceptowanym dla Urzędu poziomie ryzyka, można również wskazać odpowiednie działania służące wdrożeniu określonego rodzaju reakcji na ryzyko. § 10 Rodzaj reakcji na ryzyko i wyznaczenie właściciela ryzyka 1. Metodami przeciwdziałania ryzyku są: 1) kontrolowanie i ograniczanie ryzyka (K) – działanie w celu zmniejszenia ryzyka. Przykładem tej formy jest stosowanie mechanizmów kontroli zarządczej lub też wprowadzenie dodatkowych procedur kontrolnych w danym procesie; 2) przeniesienie ryzyka (P) – przekazanie ryzyka podmiotowi zewnętrznemu. Najczęściej przybiera formę ubezpieczenia lub zatrudnienia innego podmiotu do dokonywania określonych działań i przejęcia ryzyka za wynagrodzeniem; 3) zakończenie działań obarczonych ryzykiem wewnętrznym (Z) – polega na wycofaniu się z danego rodzaju działalności; 4) tolerowanie ryzyka (T) – świadome podjęcie ryzyka, brak dodatkowych działań, najczęściej wynika z ograniczenia możliwości podjęcia określonych działań albo zbyt wysokich kosztów ewentualnych działań w stosunku do potencjalnych korzyści. Forma ta może być uzupełniona przez plany awaryjne. 2. Podstawowym rodzajem reakcji na ryzyko w jednostce sektora finansów publicznych jest kontrolowanie i ograniczanie ryzyka (K). 3. W celu przeanalizowania określenia metody przeciwdziałania ryzyku należy przeanalizować: 1) przyczyny (źródła) ryzyka i możliwe scenariusze rozwoju wydarzeń; 7 2) istniejące mechanizmy kontrolne stosowane w celu ograniczenia lub uniknięcia tego ryzyka; 3) skuteczność istniejących mechanizmów kontroli, tj. zakres, w jakim przeciwdziałają ryzyku, a poprzez to ułatwiają lub utrudniają realizację ustalonych celów i zadań. § 11 Odpowiedzialność 1. Zapewnienie funkcjonowania systemu zarządzania ryzykiem należy do zadań kierownika jednostki. 2. Kierownik jednostki, w celu realizacji zadań związanych z zarządzaniem ryzykiem, powołuje Pełnomocnika ds. zarządzania ryzkiem odrębnym zarządzeniem, w którym określa rolę i zadania, a także szczegółowy tryb jego pracy. 3. W odniesieniu do każdego ryzyka ustalany jest właściciel ryzyka. 4. Wszyscy pracownicy jednostki zobowiązani są do aktywnego udziału w zarządzaniu ryzykiem, w szczególności przez: 1) stosowanie się do obowiązujących w jednostce regulacji w zakresie zarządzania ryzykiem; 2) bieżące identyfikowanie ryzyka i informowanie o nim przełożonych; 3) podejmowanie działań w celu zminimalizowania skutków ryzyka lub prawdopodobieństwa jego wystąpienia. 5. Rola audytu wewnętrznego w procesie zarządzania ryzykiem obejmuje: 1) dokonywanie oceny adekwatności, skuteczności i efektywności systemu zarządzania ryzykiem w obszarach objętych zadaniami zapewniającymi; 2) świadczenie usług o charakterze doradczym z zachowaniem zasady niezależności i obiektywizmu; 3) wspieranie kierownika jednostki w usprawnianiu procesu zarządzania ryzykiem. § 12 Rejestr ryzyka 1. Zbiorcza informacja na temat ryzyk przedstawiana jest w formie rejestru ryzyka, sporządzonego według wzoru określonego w załączniku Nr 1 do niniejszego dokumentu. 8 2. Rejestr ryzyka podlega zatwierdzeniu przez kierownika jednostki. 3. Kierownik jednostki, zatwierdzając rejestr ryzyka, podejmuje decyzję o: 1) rodzaju reakcji na ryzyko w stosunku do każdego ryzyka; 2) rodzaju działań zapobiegawczych lub korygujących mających przeciwdziałać wystąpieniu danego ryzyka; 3) częstotliwości raportowania, w zależności od poziomu istotności ryzyka. 4. Zatwierdzony przez kierownika jednostki rejestr ryzyka jest jawny dla wszystkich pracowników jednostki. § 13 Terminy i tryb pracy 1. Identyfikacja, analiza i ocena ryzyka oraz ustalenie metod przeciwdziałania ryzyku dokonywane są raz w roku, podczas przygotowania propozycji do rocznego planu działania jednostki na rok następny. 2. Wstępnej identyfikacji, analizy i oceny ryzyka oraz ustalenia metod przeciwdziałania ryzyku dokonują kierujący komórkami organizacyjnymi jednostki. 3. Wyniki oceny, o której mowa w § 13 ust. 2, przedkładane są Pełnomocnikowi ds. zarządzania ryzykiem w terminie i formie przez niego określonej. 4. Pełnomocnik ds. zarządzania ryzykiem przedkłada ostateczną propozycję Kierownikowi jednostki celem akceptacji. 5. Kierujący komórkami organizacyjnymi, w przypadku istotnych zmian warunków funkcjonowania podległych im komórek, zobowiązani są do dokonywania w ciągu roku aktualizacji zidentyfikowanych ryzyk oraz informowania o tym Pełnomocnika ds. zarządzania ryzykiem. § 14 Monitorowanie i raportowanie 1. Monitorowanie ryzyka jest procesem ciągłym, realizowanym na każdym szczeblu zarządzania, pozwalającym na podejmowanie decyzji przez kierownika jednostki w odpowiednim czasie. 2. W ramach monitoringu dokonywany jest przegląd aktualności ryzyk, adekwatności ich 9 oceny, podjętych działań oraz skuteczności mechanizmów kontroli i identyfikacja nowych ryzyk. 3. Zidentyfikowane ryzyko oraz ustalone metody jego ograniczania są na bieżąco oceniane przez: 1) kierujących komórkami organizacyjnymi, którzy oceniają poziom zidentyfikowanego ryzyka oraz skuteczność stosowanych metod jego ograniczania; 2) kierownictwo urzędu – w ramach bieżącego zarządzania jednostką sektora finansów publicznych, w tym w szczególności w trakcie narad z kierującymi komórkami organizacyjnymi. 4. Kierujący komórkami organizacyjnymi do 31 stycznia każdego roku przekazują do Pełnomocnika ds. zarządzania ryzykiem informację dotyczącą oceny ryzyk zidentyfikowanych w roku poprzednim, zawierającą w szczególności ocenę skuteczności zaproponowanych (przyjętych) metod przeciwdziałania ryzyku oraz wpływu tych metod na poziom istotności ryzyka. 5. Na podstawie uzyskanych informacji, o których mowa w § 14 ust. 2, Pełnomocnik ds. zarządzania ryzykiem sporządza sprawozdanie wraz z oceną (wnioskami), które przedkłada kierownikowi jednostki sektora finansów publicznych do akceptacji. 10
Regulamin zarządzania ryzykiem wymaga aktywnego udziału wszystkich pracowników w procesie zarządzania ryzykiem, z odpowiedzialnością kierownika jednostki za funkcjonowanie systemu. Monitorowanie ryzyka jest kluczowe, a rejestr ryzyka jawny dla pracowników. Proces zarządzania ryzykiem oparty jest na identyfikacji, analizie, ocenie, reakcjach na ryzyko i raportowaniu.